Malware Shai-hulud infecta pacotes npm com milhões de downloads
São Paulo — InkDesign News — A descoberta de um novo e perigoso worm de computador autoss replicante, intitulado Shai-hulud, foi anunciada pela ReversingLabs em 15 de setembro, com a presença do ataque no registro de código aberto Node Package Manager (npm).
Incidente e vulnerabilidade
O worm Shai-hulud foi encontrado no registro do npm, uma plataforma amplamente utilizada por desenvolvedores para compartilhar e utilizar pacotes de código JavaScript. Este worm se espalha ao assumir as contas npm dos desenvolvedores, inserindo código malicioso em pacotes públicos e privados sob sua administração. Os detalhes técnicos apontam que o primeiro pacote comprometido, rxnt-authentication, foi infectado em 14 de setembro, estabelecendo o mantenedor, techsupportrxnt, como “Paciente Zero” desta campanha.
Impacto e resposta
Com o Shai-hulud, informações sensíveis são roubadas, incluindo tokens de serviços em nuvem e códigos privados, com foco em chaves de plataformas como npm, GitHub, AWS e Google Cloud Platform (GCP). Além disso, o worm instala uma ferramenta chamada TruffleHog, que pode detectar mais de 800 tipos diferentes de segredos. O uso de pacotes como ngx-bootstrap e @ctrl/tinycolor, que têm milhões de downloads semanais, amplifica o impacto do ataque.
A pesquisa destaca que, uma vez contaminado, um pacote infectado pode disseminar o worm na vasta rede de outros projetos que dependem dele.
(“The research highlights that, once contaminated, an infected package can spread the worm across the vast network of other projects that depend on it.”)— ReversingLabs
Mitigações recomendadas
A ReversingLabs aconselha desenvolvedores a verificarem suas contas públicas do GitHub em busca de atividades suspeitas, como repositórios novos que não foram criados por eles ou repositórios privados que se tornaram públicos. A empresa está contatando desenvolvedores afetados, mas alerta que a velocidade de disseminação do worm dificulta a notificação a todos. É essencial que os desenvolvedores adotem boas práticas de segurança, como habilitar autenticação em duas etapas e revisar os acessos das contas npm.
É imprescindível que todos os desenvolvedores revisem suas práticas de segurança e fiquem atentos a possíveis vulnerabilidades em suas contas.
(“It is imperative that all developers review their security practices and stay vigilant for potential vulnerabilities in their accounts.”)— ReversingLabs
A contínua propagação do worm Shai-hulud representa um risco elevado para o ecossistema npm e para a segurança dos dados de milhões de desenvolvedores. Recomendamos que todos fiquem atentos a atualizações e divulgações acerca deste incidente que pode ter repercussões maiores no futuro.
Fonte: (Hack Read – Segurança Cibernética)
